AlertEvidence
Include file, indirizzi IP, URL, utenti o dispositivi associati agli avvisi.
Attributi di tabella
| Attributo | Valore |
|---|---|
| Tipi di risorsa | - |
| Categorie | Sicurezza |
| Soluzioni | SecurityInsights |
| Log di base | No |
| Trasformazione in fase di inserimento | Sì |
| Query di esempio | Sì |
Colonne
| Colonna | Tipo | Descrizione |
|---|---|---|
| AccountDomain | string | Dominio dell'account. |
| AccountName | string | Nome utente dell'account. |
| AccountObjectId | string | Identificatore univoco per l'account in Azure Active Directory. |
| AccountSid | string | ID di sicurezza (SID) dell'account. |
| AccountUpn | string | Nome dell'entità utente (UPN) dell'account. |
| Campi aggiuntivi | dinamico | Informazioni aggiuntive sull'evento in formato matrice JSON. |
| AlertId | string | Identificatore univoco per l'avviso. |
| Applicazione | string | Applicazione che ha eseguito l'azione registrata. |
| ApplicationId | INT | Identificatore univoco per l'applicazione. |
| AttackTechniques | string | MITRE ATT&tecniche CK associate all'attività che ha attivato l'avviso. |
| _BilledSize | real | Dimensioni del record in byte |
| Categorie | string | Elenco di categorie a cui appartengono le informazioni, in formato matrice JSON. |
| DetectionSource | string | Tecnologia o sensore di rilevamento che ha identificato il componente o l'attività rilevanti. |
| DeviceId | string | Identificatore univoco per il dispositivo nel servizio. |
| DeviceName | string | Nome di dominio completo (FQDN) del computer. |
| EmailSubject | string | Oggetto del messaggio di posta elettronica. |
| EntityType | string | Tipo di oggetto, ad esempio un file, un processo, un dispositivo o un utente. |
| EvidenceDirection | string | Indica se l'entità è l'origine o la destinazione di una connessione di rete. |
| EvidenceRole | string | Modalità di coinvolgimento dell'entità in un avviso, che indica se è interessato o è semplicemente correlato. |
| FileName | string | Nome del file a cui è stata applicata l'azione registrata. |
| FileSize | long | Dimensioni del file, in byte. |
| FolderPath | string | Cartella contenente il file a cui è stata applicata l'azione registrata. |
| _IsBillable | string | Specifica se l'inserimento dei dati è fatturabile. Quando _IsBillable l'inserimento false non viene fatturato all'account Azure |
| LocalIP | string | Indirizzo IP assegnato al dispositivo locale usato durante la comunicazione. |
| NetworkMessageId | string | Identificatore univoco per il messaggio di posta elettronica generato da Office 365. |
| OAuthApplicationId | string | Identificatore univoco dell'applicazione OAuth di terze parti. |
| ProcessCommandLine | string | Riga di comando usata per creare il nuovo processo. |
| RegistryKey | string | Chiave del Registro di sistema a cui è stata applicata l'azione registrata. |
| RegistryValueData | string | Dati del valore del Registro di sistema a cui è stata applicata l'azione registrata. |
| RegistryValueName | string | Nome del valore del Registro di sistema a cui è stata applicata l'azione registrata. |
| RemoteIP | string | Indirizzo IP a cui si è connessi. |
| RemoteUrl | string | URL o nome di dominio completo (FQDN) a cui è stata stabilita la connessione. |
| ServiceSource | string | Prodotto o servizio che ha fornito le informazioni sull'avviso. |
| SHA1 | string | SHA-1 del file a cui è stata applicata l'azione registrata. |
| SHA256 | string | SHA-256 del file a cui è stata applicata l'azione registrata. Questo campo in genere non viene popolato. Usare la colonna SHA1, se disponibile. |
| SourceSystem | string | Tipo di agente da cui è stato raccolto l'evento. Ad esempio, OpsManager per l'agente Windows, connessione diretta o Operations Manager, Linux per tutti gli agenti Linux o Azure per Diagnostica di Azure |
| TenantId | string | ID area di lavoro Log Analytics |
| ThreatFamily | string | Famiglia di malware a cui è stato classificato il file o il processo sospetto o dannoso. |
| TimeGenerated | Datetime | Data e ora (UTC) in cui è stato generato il record. |
| Titolo | string | Titolo dell'avviso. |
| Type | string | Nome della tabella |
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per